详细内容或原文请订阅后点击阅览
BLOODALCHEMY:攻击南亚政府机构的数字掠夺者
新恶意软件与已经经过验证的 ShadowPad 和 Deed RAT 有何关联?
来源:安全实验室新闻频道新的网络威胁通常是现有恶意软件演变和修改的结果。最近的一项研究表明,用于攻击南亚和东南亚政府组织的最新 BLOODALCHEMY 恶意软件与 Deed RAT、
ShadowPad和 PlugX。
“BLOODALCHEMY 和 Deed RAT 的起源与 ShadowPad 有关,鉴于 ShadowPad 在众多 APT 活动中使用的历史,特别关注该恶意软件的使用趋势极其重要,”日本信息安全公司ITOCHU Cyber & Intelligence。
标记Elastic Security Labs 研究人员于 2023 年 10 月首次记录了 BLOODALCHEMY 恶意软件,当时他们正在研究针对东南亚国家联盟 (ASEAN) 国家的恶意软件活动。该恶意工具是用 C 语言编写的后门,利用加载恶意 DLL 的 Sideloading 技术将其注入已签名的无害进程“BrDifxapi.exe”中。
已记录 弹性安全实验室“虽然未经证实,但如此少量的内置命令的存在表明该恶意软件可能只是一个更大工具包的一部分,或者只是仍在开发中。或者它确实是一个针对特定战术目的的狭隘工具,”Elastic 研究人员在去年的报告中指出。
BLOODALCHEMY 攻击涉及破坏 VPN 设备上用于初始访问的帐户并下载“BrDifxapi.exe”,该文件用于加载“BrLogAPI.dll”。该加载程序负责从名为“DIFX”的文件中提取 BLOODALCHEMY 代码后在内存中执行该代码。
值得注意的是,PlugX(Korplug)和ShadowPad(PoisonPlug)均已被中国黑客团体广泛使用多年。